برند مد SHEIN به دلیل دروغ پردازی در مورد نقض اطلاعات 1.9 میلیون دلار جریمه شد

شرکت چینی Zoetop، مالک سابق برندهای معروف شین و ROMWE "فست مد"، توسط ایالت نیویورک 1,900,000 دلار جریمه شده است.

به عنوان دادستان کل لتیتیا جیمز آن را بگذار در بیانیه هفته گذشته:

تدابیر امنیتی ضعیف دیجیتالی SHEIN و ROMWE، سرقت اطلاعات شخصی مشتریان را برای هکرها آسان کرده است.

مثل اینکه این به اندازه کافی بد نبود، جیمز ادامه داد:

[P] داده های شخصی به سرقت رفت و Zoetop سعی کرد آن را پنهان کند. ناتوانی در محافظت از داده های شخصی مصرف کنندگان و دروغ گفتن در مورد آن مرسوم نیست. SHEIN و ROMWE باید اقدامات امنیتی سایبری خود را برای محافظت از مصرف کنندگان در برابر کلاهبرداری و سرقت هویت انجام دهند.

صادقانه بگویم، ما متعجبیم که Zoetop (اکنون شرکت توزیع SHEIN در ایالات متحده) با توجه به اندازه، ثروت و قدرت نام تجاری شرکت، فقدان آشکار حتی اقدامات احتیاطی اولیه که می توانست از خطرات ناشی از آن جلوگیری کند یا کاهش دهد، اینقدر ساده عمل کرد. توسط نقض، و عدم صداقت مداوم آن در رسیدگی به نقض پس از مشخص شدن آن.

نقض کشف شده توسط افراد خارجی

مطابق با دفتر دادستان کل نیویورک، Zoetop حتی متوجه این نقض نشد که در ژوئن 2018 اتفاق افتاد.

در عوض، پردازشگر پرداخت Zoetop به دنبال گزارش‌های کلاهبرداری از دو منبع: یک شرکت کارت اعتباری و یک بانک، متوجه شد که شرکت مورد نفوذ قرار گرفته است.

شرکت کارت اعتباری با داده های کارت مشتریان SHEIN برای فروش در یک انجمن زیرزمینی مواجه شد که نشان می دهد این داده ها به صورت عمده از خود شرکت یا یکی از شرکای فناوری اطلاعات آن به دست آمده است.

و بانک SHEIN (تلفظ "she in"، اگر قبلاً آن را حل نکرده بودید، نه "درخشش") را به عنوان چیزی شناسایی کرد که به عنوان یک CPP در تاریخچه پرداخت مشتریان متعددی که کلاهبرداری شده بودند.

CPP کوتاه شده است نقطه مشترک خریدو دقیقاً به این معنی است که می گوید: اگر 100 مشتری به طور مستقل تقلب در کارت های خود را گزارش کنند و اگر تنها تاجر معمولی که تمام 100 مشتری اخیراً به او پرداخت کرده اند شرکت X باشد…

...پس شما شواهدی دارید که نشان می دهد X یکی از دلایل احتمالی "شیوع کلاهبرداری" است، به همان روشی که جان اسنو، اپیدمیولوژیست پیشگام بریتانیایی، شیوع وبا در سال 1854 در لندن را به یک زمان ردیابی کرد. پمپ آب آلوده در خیابان براد، سوهو.

کار اسنو به رد این ایده کمک کرد که بیماری‌ها به سادگی «از طریق هوای کثیف پخش می‌شوند». "نظریه میکروب" را به عنوان یک واقعیت پزشکی ایجاد کرد و تفکر در مورد سلامت عمومی را متحول کرد. او همچنین نشان داد که چگونه اندازه‌گیری و آزمایش عینی می‌تواند به ارتباط علل و پیامدها کمک کند، بنابراین اطمینان حاصل می‌کند که محققان آینده وقت خود را برای ارائه توضیحات غیرممکن و جستجوی «راه‌حل‌های بی‌فایده» تلف نمی‌کنند.

اقدامات احتیاطی انجام نداد

جای تعجب نیست که با توجه به اینکه این شرکت به طور دست دوم متوجه این نقض شده است، تحقیقات نیویورک کسب و کار را به دلیل زحمت ندادن به نظارت بر امنیت سایبری محکوم کرد. اسکن‌های آسیب‌پذیری خارجی منظم را اجرا نکرده است یا به طور منظم گزارش‌های حسابرسی را برای شناسایی حوادث امنیتی نظارت یا بررسی نکرده است.»

تحقیقات همچنین گزارش داد که Zoetop:

• رمزهای عبور کاربر هش شده به نحوی که شکستن آن بسیار آسان است. ظاهراً هش رمز عبور شامل ترکیب رمز عبور کاربر با یک نمک تصادفی دو رقمی و به دنبال آن یک تکرار MD5 بود. گزارش‌ها از طرفداران شکستن رمز عبور حاکی از آن است که یک دستگاه کرکینگ 8 GPU مستقل با سخت‌افزار 2016 می‌توانست در آن زمان 200,000,000,000 MD5 را در ثانیه جابجا کند (نمک معمولاً زمان محاسبات اضافی اضافه نمی‌کند). این معادل آزمایش تقریباً 20 کوادریلیون رمز عبور در روز با استفاده از تنها یک رایانه با هدف خاص است. (نرخ کرک MD5 امروزی با استفاده از کارت‌های گرافیک اخیر ظاهراً پنج تا ده برابر سریع‌تر از آن است.)
• داده ها را بی پروا ثبت کرد. برای تراکنش‌هایی که نوعی خطا رخ داده است، Zoetop کل تراکنش را در یک گزارش اشکال‌زدایی ذخیره می‌کند، ظاهراً جزئیات کامل کارت اعتباری را شامل می‌شود (ما فرض می‌کنیم که شامل کد امنیتی و همچنین تعداد طولانی و تاریخ انقضا می‌شود). اما حتی پس از اطلاع از نقض، این شرکت تلاشی نکرد تا دریابد که ممکن است این نوع داده های کارت پرداخت نادرست را در سیستم های خود ذخیره کند.
• نمی توان با طرح واکنش به حادثه اذیت شد. این شرکت نه تنها قبل از وقوع نقض یک طرح پاسخگویی به امنیت سایبری نداشت، بلکه ظاهراً به خود زحمت نداده بود که پس از آن برنامه ای برای پاسخگویی به امنیت سایبری ارائه کند، با تحقیقات نشان داد که "اقدام به موقع برای محافظت از بسیاری از مشتریان تحت تاثیر شکست خورده است."
• دچار عفونت جاسوس افزار در داخل سیستم پردازش پرداخت خود شده است. همانطور که تحقیقات توضیح داد، «هر گونه برداشت اطلاعات کارت پرداخت [بنابراین] با رهگیری داده‌های کارت در محل خرید اتفاق می‌افتد.» همانطور که می توانید تصور کنید، با توجه به فقدان یک طرح واکنش به حادثه، شرکت متعاقباً قادر به تشخیص میزان عملکرد این بدافزار سرقت اطلاعات نبود، اگرچه این واقعیت که جزئیات کارت مشتریان در وب تاریک ظاهر شد نشان می دهد که مهاجمان موفقیت آمیز.

راستش را نگفت

این شرکت همچنین به دلیل عدم صداقت در نحوه برخورد با مشتریان پس از آگاهی از میزان حمله مورد انتقاد شدید قرار گرفت.

به عنوان مثال، شرکت:

• بیان کرد که 6,420,000 کاربر (کسانی که واقعاً سفارش داده بودند) تحت تأثیر قرار گرفتند. اگرچه می‌دانست که 39,000,000،XNUMX،XNUMX سوابق حساب کاربری، از جمله رمزهای عبور نادرست هش شده، به سرقت رفته است.
• گفت که با آن 6.42 میلیون کاربر تماس گرفته است. در حالی که در واقع فقط کاربران در کانادا، ایالات متحده و اروپا مطلع شدند.
• به مشتریان گفت که "هیچ مدرکی دال بر اینکه اطلاعات کارت اعتباری شما از سیستم های ما گرفته شده است" ندارد. علیرغم اینکه دو منبع به این نقض هشدار داده بودند که شواهدی را ارائه کردند که دقیقاً همین را نشان می دهد.

به نظر می‌رسد این شرکت همچنین از ذکر این موضوع غافل شده است که می‌دانست از یک عفونت بدافزار سرقت اطلاعات رنج می‌برد و نتوانسته شواهدی ارائه دهد که نشان دهد این حمله هیچ نتیجه‌ای نداشته است.

همچنین نتوانست فاش کند که گاهی اوقات اطلاعات کامل کارت را آگاهانه در گزارش‌های اشکال‌زدایی ذخیره می‌کند (حداقل بار 27,295، در واقع)، اما در واقع تلاشی برای ردیابی آن فایل‌های گزارش سرکش در سیستم‌های خود نکرد تا ببیند به کجا رسیده‌اند یا چه کسی ممکن است به آنها دسترسی داشته باشد.

برای اضافه کردن آسیب به توهین، تحقیقات بیشتر نشان داد که این شرکت با PCI DSS سازگار نیست (لاگ های سرکش اشکال زدایی آن از آن اطمینان حاصل کردند)، دستور داده شد که به تحقیقات پزشکی قانونی PCI ارائه شود، اما سپس اجازه دسترسی بازرسان را به آنها نداد. تا کار خود را انجام دهند.

همانطور که اسناد دادگاه به صراحت اشاره می کنند، [n]با این وجود، در بررسی محدودی که انجام داد، [بازپرس قانونی با صلاحیت PCI] مناطقی را پیدا کرد که در آن‌ها سیستم‌های Zoetop با PCI DSS سازگار نبودند.

شاید بدتر از همه، زمانی که این شرکت رمزهای عبور وب سایت ROMWE خود را برای فروش در وب تاریک در ژوئن 2020 کشف کرد و در نهایت متوجه شد که این داده ها احتمالاً در سال 2018 به سرقت رفته است که قبلاً سعی کرده بود آن را پنهان کند.

... پاسخ آن برای چندین ماه این بود که کاربران آسیب دیده را با یک اعلان ورود به سیستم قربانی مقصر ارائه می کرد که می گفت: رمز عبور شما از سطح امنیتی پایینی برخوردار است و ممکن است در خطر باشد. لطفا رمز ورود خود را تغییر دهید.»

این پیام متعاقباً به یک بیانیه انحرافی تبدیل شد که می‌گفت: رمز عبور شما بیش از 365 روز است که به روز نشده است. برای محافظت از شما، لطفاً آن را اکنون به‌روزرسانی کنید.»

تنها در دسامبر 2020، پس از یافتن دومین بخش از رمزهای عبور برای فروش در وب تاریک، که ظاهراً بخشی از نفوذ را به بیش از 7,000,000،XNUMX،XNUMX حساب کاربری ROMWE رساند، این شرکت به مشتریان خود اعتراف کرد که آنها با هم درگیر شده اند. چیزی که از آن به صورت بی مزه به عنوان a "حادثه امنیت داده."

چه کاری انجام دهید؟

متأسفانه، به نظر نمی‌رسد مجازات در این مورد فشار زیادی بر «چه کسی به امنیت سایبری اهمیت می‌دهد، وقتی که می‌توانید فقط جریمه را بپردازید؟» وارد نمی‌کند. شرکت‌ها کار درست را انجام دهند، چه قبل، چه در حین یا بعد از یک حادثه امنیت سایبری.

آیا مجازات برای این نوع رفتار باید بیشتر باشد؟

تا زمانی که کسب‌وکارهایی وجود دارند که به نظر می‌رسد جریمه‌ها را صرفاً به‌عنوان هزینه‌ای در نظر می‌گیرند که می‌توان از قبل در بودجه کار کرد، آیا جریمه‌های مالی حتی راه درستی هستند؟

یا باید شرکت‌هایی که از این نوع نقض‌ها رنج می‌برند، سعی کنند مانع بازرسان شخص ثالث شوند و سپس حقیقت کامل آنچه را که اتفاق افتاده از مشتریان خود پنهان کنند…

... به سادگی نمی توان از معامله برای عشق یا پول جلوگیری کرد؟

نظر خود را در نظرات زیر بیان کنید! (شما ممکن است ناشناس بمانید.)

---

وقت یا پرسنل کافی نیست؟
اطلاعات بیشتر در مورد شناسایی و پاسخ مدیریت شده Sophos:
شکار، شناسایی و پاسخگویی تهدیدات 24/7  ▶

---